目录
(1)入侵检测系统(Intrusion Detection Systems)
(2)入侵防御系统(Intrusion Prevention System)
(1)五个表table:filter、nat、mangle、raw、security
(2)4条链:OUTPUT、FORWARD、PREROUTING、POSTROUTING
一、Linux包过滤防火墙概述
1.netfilter
(1)位于Linux内核中的包过滤功能体系
(2)称为Linux防火墙的,"内核态”
2.riptables
(1)位于/sbinTiptables, 用来管理防火墙规则的工具
(2)称为Linux防火墙的“用户态”
3.包过滤的工作层次
(1)主要是网络层,针对IP数据包
(2)体现在对包内的IP地址、端口等信息的处理上
二、iptables的表、链结构
1.规则链
(1)规则的作用:对数据包进行过滤或处理
(2)链的作用:容纳各种防火墙规则_
(3)链的分类依据:处理数据包的不同时机
2.5种规则链
(1)INPUT:处理入站数据包
(2)OUTPUT:处理出站数据包
(3)FORWARD:处理转发数据包
(4)POSTROUTING链:在进行路由选择后处理数据包
(5)PREROUTING链:在进行路由选择前处理数据包
3.规则表
(1)表的作用:容纳各种规则链
(2)表的划分依据:防火墙规则的作用相似
4.4个规则表
(1)raw表:确定是否对该数据包进行状态跟踪
(2)mangle表:为数据包设置标记
(3)nat表:修改数据包中的源、目标IP地址或端口
(4)filter表:确定是否放行该数据包(过滤)
三、数据包过滤的匹配流程
1.规则表之间的顺序
raw> mangle > nat > filter
2.规则链之间的顺序
(1)入站: PREROUTING→INPUT
(2)出站: OUTPUT→POSTROUTING
(3)转发: PREROUTING→FORWARD→POSTROUTING
3.规则链内的匹配顺序
(1)按顺序依次检查,匹配即停止(LOG策略例外)
(2)若找不到相匹配的规则,则按该链的默认策略处理
四、安全技术和防火墙
1.安全技术
(1)入侵检测系统(Intrusion Detection Systems)
特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报警和事后监督为主,提供有针对性的指导措施和安全决策依据,类 似于监控系统一般采用旁路部署(默默的看着你)方式。
(2)入侵防御系统(Intrusion Prevention System)
以透明模式工作,分析数据包的内容如:溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断,在判定为攻击行为后立即予以 阻断,主动而有效的保护网络的安全,一般采用在线部署方式。(必经之路)
(3)防火墙( FireWall )
隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默 认情况下关闭所有的通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中.
2.防火墙的分类
(1)按保护范围划分
1)主机防火墙:服务范围为当前一台主机
2)网络防火墙:服务范围为防火墙一侧的局域网
(2)按实现方式划分
1)硬件防火墙:在专用硬件级别实现部分功能的防火墙;另一个部分功能基于软件实现,如:华为, 山石hillstone,天融信,启明星辰,绿盟,深信服, PaloAlto , fortinet, Cisco, Checkpoint, NetScreen(Juniper2004年40亿美元收购)等
2)软件防火墙:运行于通用硬件平台之上的防火墙的应用软件,Windows 防火墙 ISA --> Forefront
(3)按网络协议划分
1)网络层防火墙:OSI模型下四层,又称为包过滤防火墙
2)应用层防火墙/代理服务器